电网工控协议识别解析技术思考

电网工控协议识别解析技术思考

工控协议解析与检测是实现工控安全的重要手段。本文通过阅读工控协议识别解析方面的文献和企业案例，分析电网工控协议常见静态和动态识别分析技术存在的缺陷，并提出了一些新的思考方向。

工控协议的深度识别和解析是工控安全发展的一个重要的基础。在工控协议静态分析上，基于协议端口、协议报文特征（一般指报文头部或者尾部特征）、关联性检测、行为特征检测等方法被广泛应用。然而，这些方法存在一些缺陷：

• 协议报文特征的缺陷误报率高，原因在于工控协议报文特征变化，且工控协议报文特征弱，协议端口复用等问题
• 关联性检测主要应用在协议控制和数据传输不同机制协议中，同样存在检测缺陷问题

工控协议识别技术

文献4总结了使用nmap进行公开协议识别的NSE脚本，用来对常见工控协议进行表征识别。以下是具体的命令示例：

nmap -sS -Pn -p 102 --script s7-info -iL 123.txt -oX 123.xml  
nmap -sS -Pn -p 502 --script modicon-info -iL 123.txt -oX 123.xml  
nmap -Pn -n -d --script iec-identify.nse  --script-args='iec-identify.timeout=500' -p 2404 <IEC 60870-5-104>  
nmap --script dnp3-info -p 20000 <DNP3>  
nmap --script enip-info -sU  -p 44818 <EtherNet/ip>  
nmap --script bacnet-info -sU -p 47808 <BACnet>  
nmap --script fox-info.nse -p 1911 <Tridium Niagara Fox>  
nmap --script cr3-fingerprint -p 789 <Crimson V3>  
nmap --script pcworx-info -p 1962 <PCWorx>  

工控协议深度解析技术

文献1提出通过对工控通信协议报文负载进行特征提取，形成正则表达式，利用正则表达式库进行正则表达式匹配的方式，实现工控协议的实时识别。然而，这种方法存在以下缺陷：

• 工控协议报文特征变化，导致误报率高
• 工控协议深度包解析算法依然面临着解析规则复杂、准确率不高，实现性能较低的困境
• 针对未知私有协议基本无效

在学术研究中，大量工控协议深度包解析识别与人工智能、机器学习等技术结合，以实现工控协议识别解析的自主性。文献5提出了网络报文的协议语义与状态机推断的二义性问题，以及通过判断状态机迁移条件逆向协议，但没有具体实现方案。

工控协议安全检测系统

文献9阐述了今年工控协议所面临的安全问题，从工控网络架构、工控协议设计、实现和应用的角度深入分析了工控协议面临的攻击威胁，是一篇不错的综述。

异常检测平台

文献10基于Spark的电网工控系统流量异常检测平台，基于内存的编程模型提高数据处理速度，利用Deep Learning 4J建立以卷积神经网络为基础的流量异常检测模型。

参考文献

[1]工控协议实时识别与深度解析的设计与实现[D]
[2]工控协议深度包解析与检测技术研究[J]
[3]基于深度协议解析的工控信息安全监测系统设计及实现[J]
[4]https://github.com/hi-KK/ICS-Protocol-identify
[5]基于协议解析的电网工控安全检测系统[P]
[6]电力工控系统攻击仿真验证关键技术研究[J]
[7]之江实验室-工业互联网信息安全攻防对抗基础平台
[8]CSNA网络分析经典实战案例
[9]工业控制系统协议安全综述[J]
[10]基于 Spark 的电网工控系统流量异常检测平台[J]
[11]IEC61850协议内容过滤的工控防火墙设计
[12]人工智能深度加强工业互联网安全[PPT]
[13]工业互联网典型安全解决方案案例汇编2020
[14]绿盟科技提出的 SecXOps 安全智能分析技术白皮书
[15]ShadowPLCs: A Novel Scheme for Remote Detection of Industrial Process Control Attacks
[16]工控系统安全EtherNet/IP协议分析[https://cn-sec.com/archives/208653.html]
[17]工控协议逆向分析技术研究与挑战[J]